360独家发现OpenClaw智能体网关高危0Day漏洞：WebSocket无认证升级可致系统崩溃

SmartHey3月22日消息，近日，360安全云团队收到OpenClaw创始人Peter的官方邮件。在回信中，Peter正式确认了由360团队独家发现的OpenClaw Gateway WebSocket无认证升级漏洞。目前，360已将该高危漏洞同步报送至国家信息安全漏洞共享平台（CNVD），协助全网第一时间阻断风险路径。

该漏洞属于零日（0Day）漏洞，攻击者无需任何身份验证即可通过WebSocket协议静默触发协议升级，绕过全部权限校验机制，直接获取智能体网关控制权，进而可能引发目标系统资源耗尽、服务中断甚至整体崩溃。

此次事件凸显智能体安全边界正发生根本性迁移：当智能体从“对话助手”演进为具备自主调用技能、执行真实操作的“数字执行体”，其风险面已从模型层快速下沉至接口层、技能链路与系统权限层。公网暴露的API接口、恶意Skill注入、提示词劫持以及缺乏行为留痕与审计能力，已成为当前智能体规模化部署中的普遍性安全隐患。正如360集团创始人周鸿祎所强调，智能体时代亟需践行‘以模治模’理念——依托可信安全模型，对智能体的意图理解、技能调度、动作执行与结果反馈实施全生命周期约束与动态监测。